Le 24 décembre dernier, Londres et Bruxelles ont enfin conclu le « Trade and Cooperation Agreement » relatif à la sortie du Royaume-Uni de l’Union européenne. Cet accord a pour objectif de réglementer de nouveau, notamment les échanges commerciaux et concurrentiels des entreprises, mais aussi le RGPD. L’application de ce dernier sera maintenue au Royaume-Uni jusqu’au 1er juillet 2021.

Par Me Pierre-Randolph Dufau
Avocat à la cour, fondateur de la SELAS PRD avocats

Le compte à rebours a commencé. Une période transitoire de six mois a été fixée à compter du 1er janvier 2021 pour permettre aux entreprises de se mettre en conformité avec les nouvelles règles établies. En matière de RGPD, l’enjeu du Brexit se focalise sur le transfert des données.

Il a été décidé que tout transfert de données à caractère personnel vers le Royaume Uni, pendant la période transitoire, soit jusqu’au 1er juillet 2021, sera soumis aux mêmes règles que pour les États membres. Le Royaume-Uni ne sera pas encore considéré comme un pays tiers pour lequel une réglementation particulière s’applique en matière de transfert de données.

Une fois la période transitoire écoulée, la Commission européenne devrait se prononcer, dans une décision dite « décision d’adéquation », sur les modalités d’autorisation des transferts de données vers le RoyaumeUni, devenu « pays tiers à l’UE ».
À ce titre, les transferts ne seront autorisés que s’il dispose d’un niveau sécurité jugé par la CE comme équivalent au RGPD.

Pour l’heure, en attendant cette décision, le transfert ne sera possible que moyennant des garanties appropriées. Plusieurs outils sont recommandés afin de s’assurer de la fiabilité du destinataire comme des clauses contractuelles spécifiques, Binding Corporate Rules (BCR), codes de conduites…
De la même façon, les ressortissants européens considérés comme des personnes concernées, devront, selon l’article 46 du RGPD, disposer de droits opposables et de voies de droit effectives quant au traitement de leurs données personnelles.

De plus, depuis le 1er janvier 2021, le système de « guichet unique » n’est plus applicable au Royaume-Uni. Ce système permettait de faciliter les démarches des entreprises établies sur le territoire de l’UE quant à leurs traitements et transferts vers des pays tiers, en s’adressant à un interlocuteur unique. Elles devaient également accomplir leurs obligations découlant du RGPD auprès de ce dernier. Au Royaume-Uni, c’est l’Information Commissioner’s Office (ICO), autorité de contrôle en matière de données personnelles, qui remplissait ce rôle.

Aujourd’hui, les responsables de traitement et sous-traitants seulement établis au Royaume-Uni devront désigner un représentant dans l’Union Européenne conformément à l’article 27 du RGPD. Ce représentant sera l’interlocuteur unique assurant le lien avec les différentes autorités de contrôle et les personnes concernées.

Notons toutefois que les sociétés n’ayant pas d’établissement principal situé sur le territoire de l’Espace économique européen (EEE) ne bénéficieront pas du système, à moins de placer un nouvel établissement dans l’EEE.

Enfin, la Cnil et les différentes autorités de contrôle européennes se sont réunies au sein du Comité européen de la protection des données (CEPD) afin de préparer avec l’ICO une transition en bonne et due forme sécurisante pour tous les traitements en cours.